Tag di entità defender per identità in Microsoft Defender XDR

  • Articolo

Questo articolo descrive come applicare Microsoft Defender per identità tag di entità, per account sensibili, server Exchange o honeytoken.

  • È necessario contrassegnare gli account sensibili per i rilevamenti di Defender per identità che si basano sullo stato di riservatezza di un'entità, ad esempio rilevamenti di modifiche ai gruppi sensibili e percorsi di spostamento laterale.

    Anche se Defender per identità contrassegna automaticamente i server Exchange come asset sensibili di alto valore, è anche possibile contrassegnare manualmente i dispositivi come server Exchange.

  • Contrassegnare gli account honeytoken per impostare trappole per gli attori malintenzionati. Poiché gli account honeytoken sono in genere inattivi, qualsiasi autenticazione associata a un account honeytoken attiva un avviso.

Prerequisiti

Per impostare i tag di entità defender per identità in Microsoft Defender XDR, è necessario distribuire Defender per identità nell'ambiente e l'accesso amministratore o utente a Microsoft Defender XDR.

Per altre informazioni, vedere Microsoft Defender per identità gruppi di ruoli.

Contrassegna manualmente le entità

Questa sezione descrive come contrassegnare manualmente un'entità, ad esempio per un account honeytoken o se l'entità non è stata contrassegnata automaticamente come Sensibile.

  1. Accedere a Microsoft Defender XDR e selezionare Impostazioni> Identità.

  2. Selezionare il tipo di tag da applicare: Sensitive, Honeytoken o Exchange Server.

    La pagina elenca le entità già contrassegnate nel sistema, elencate in schede separate per ogni tipo di entità:

    • Il tag Sensitive supporta utenti, dispositivi e gruppi.
    • Il tag Honeytoken supporta utenti e dispositivi.
    • Il tag del server Exchange supporta solo i dispositivi.

  3. Per contrassegnare entità aggiuntive, selezionare il pulsante Tag ... ad esempio Contrassegna utenti. Viene aperto un riquadro nell'elenco di destra delle entità disponibili da contrassegnare.

  4. Usare la casella di ricerca per trovare l'entità, se necessario. Selezionare le entità da contrassegnare e quindi selezionare Aggiungi selezione.

Ad esempio:

Screenshot of tagging user accounts as sensitive.

Entità sensibili predefinite

I gruppi nell'elenco seguente sono considerati sensibili da Defender per identità. Qualsiasi entità membro di uno di questi gruppi di Active Directory, inclusi i gruppi annidati e i relativi membri, viene considerata automaticamente sensibile:

  • Amministratori

  • Power Users

  • Account Operators

  • Server Operators

  • Print Operators

  • Backup Operators

  • Replicators

  • Network Configuration Operators

  • Generatori di trust di foreste in ingresso

  • Domain Admins

  • Controller di dominio

  • Proprietari autori criteri di gruppo

  • Controller di dominio di sola lettura

  • Controller di dominio di sola lettura organizzazione

  • Amministratori schema

  • Amministratori Enterprise

  • Server Microsoft Exchange

    Nota

    Fino a settembre 2018, anche gli utenti di Desktop remoto sono stati considerati automaticamente sensibili da Defender per identità. Le entità o i gruppi di Desktop remoto aggiunti dopo questa data non vengono più contrassegnati automaticamente come sensibili mentre le entità o i gruppi di Desktop remoto aggiunti prima di questa data possono rimanere contrassegnati come sensibili. Questa impostazione Sensibile può ora essere modificata manualmente.

Oltre a questi gruppi, Defender per identità identifica i server asset di valore elevato seguenti e li contrassegna automaticamente come Sensibili:

  • Server autorità di certificazione
  • Server DHCP
  • Server DNS.
  • Microsoft Exchange Server

Contenuto correlato

Per altre informazioni, vedere Analizzare gli avvisi di sicurezza di Defender per identità in Microsoft Defender XDR.